Ένας ηθοποιός απειλών γνωστός ως Zeroplayer φέρεται να έχει καταγράψει μια ευπάθεια μηδενικής ημέρας απομακρυσμένης εκτέλεσης κώδικα (RCE), σε συνδυασμό με μια διαφυγή sandbox, στοχεύοντας συστήματα Microsoft Office και Windows προς πώληση σε υπόγεια φόρουμ hacking.
Με τιμή 30.000 $, το exploit φέρεται να λειτουργεί στις περισσότερες μορφές αρχείων του Office, συμπεριλαμβανομένων των πιο πρόσφατων εκδόσεων, και επηρεάζει πλήρως επιδιορθωμένες εγκαταστάσεις των Windows.
Αυτή η εξέλιξη εγείρει συναγερμούς στην κοινότητα της κυβερνοασφάλειας, καθώς θα μπορούσε να επιτρέψει στους εισβολείς να παρακάμψουν τις ισχυρές προστασίες sandbox της Microsoft και να εκτελέσουν αυθαίρετο κώδικα με ελάχιστη αλληλεπίδραση με τον χρήστη.
Η διαφήμιση, που δημοσιεύτηκε στα ρωσικά σε ένα εξέχον φόρουμ hacking, περιγράφει την ευπάθεια ως μια 0-day υψηλής επίδρασης ικανή να παραδώσει ωφέλιμα φορτία μέσω κακόβουλων εγγράφων του Office.
Ο Zeroplayer ισχυρίζεται ότι η αλυσίδα εκμετάλλευσης επιτρέπει στους απομακρυσμένους εισβολείς να ξεφύγουν από το sandbox του Office, μια κρίσιμη δυνατότητα ασφαλείας που έχει σχεδιαστεί για να απομονώνει δυνητικά επιβλαβή κώδικα και να επιτυγχάνει πλήρη συμβιβασμό του συστήματος στα Windows.
Οι μέθοδοι παράδοσης περιλαμβάνουν την ενσωμάτωση του exploit σε κοινούς τύπους αρχείων, όπως έγγραφα Word ή Excel, τα οποία θα μπορούσαν να διανεμηθούν μέσω email ηλεκτρονικού ψαρέματος ή παραβιασμένων τοποθεσιών.
Λεπτομέρειες της καταχώρισης του φόρουμ χάκερ
Ο πωλητής προσκαλεί προσωπικά μηνύματα για επιδείξεις και λεπτομέρειες απόδειξης ιδέας, δίνοντας έμφαση στη συμβατότητα με πρόσφατες ενημερώσεις για τον μετριασμό του εντοπισμού από εργαλεία προστασίας από ιούς.
Αυτή δεν είναι η πρώτη εισβολή του Zeroplayer στην αγορά του exploit. Ο ηθοποιός πρόσφερε προηγουμένως ένα WinRAR zero-day RCE για 80.000 $ τον Ιούλιο του 2025, υπογραμμίζοντας ένα μοτίβο στόχευσης ευρέως χρησιμοποιούμενου λογισμικού παραγωγικότητας και αρχειοθέτησης.
Τέτοιες πωλήσεις υπογραμμίζουν την προσοδοφόρα παραοικονομία για μηδενικές ημέρες, όπου οι εκμεταλλεύσεις αποκτούν κορυφαίες τιμές πριν από τη δημόσια αποκάλυψη ή την επιδιόρθωση.
Η ενημερωμένη έκδοση κώδικα Τρίτης Νοεμβρίου 2025 της Microsoft αντιμετώπισε πολλαπλά κρίσιμα ελαττώματα RCE στο Office, συμπεριλαμβανομένου του CVE-2025-62199, μιας ευπάθειας χωρίς χρήση που μπορεί να εκμεταλλευτεί μέσω κακόβουλων εγγράφων.
Ωστόσο, αυτή η ενημερωμένη έκδοση κώδικα επικεντρώθηκε σε γνωστά ζητήματα και δεν αναφέρθηκε σε αυτήν την υποτιθέμενη 0-ημέρα, υποδηλώνοντας ότι παραμένει μη επιδιορθωμένη και δυνητικά πιο επικίνδυνη λόγω του στοιχείου διαφυγής του sandbox.
Οι αποδράσεις Sandbox είναι ιδιαίτερα ανησυχητικές, καθώς εξουδετερώνουν μία από τις κύριες άμυνες του Office έναντι επιθέσεων που βασίζονται σε μακροεντολές, επιτρέποντας στο κακόβουλο λογισμικό να εξαπλωθεί πλευρικά στα δίκτυα.
Οι ειδικοί σημειώνουν ότι τα ρωσόφωνα φόρουμ, όπως αυτό που φιλοξενεί αυτήν την καταχώριση, συχνά χρησιμεύουν ως κόμβοι για κρατικούς ή ευκαιριακούς παράγοντες απειλών, οι οποίοι ενδέχεται να οπλίσουν τέτοιου είδους εκμεταλλεύσεις για ransomware, κατασκοπεία ή κλοπή δεδομένων.
Παρόμοια προηγούμενα περιστατικά, όπως η εκμετάλλευση του CVE-2023-36884 το 2023 από τον ρωσικό όμιλο Storm-0978, αφορούσαν το Office RCE για ανάπτυξη backdoor εναντίον δυτικών στόχων.
Οι πιθανές συνέπειες από αυτήν τη 0-ημέρα είναι σημαντικές, ειδικά για επιχειρήσεις που εξαρτώνται από το Microsoft 365. Οι εισβολείς θα μπορούσαν να το αξιοποιήσουν για να υπονομεύσουν τις αλυσίδες εφοδιασμού ή να πραγματοποιήσουν στοχευμένες εισβολές, αποφεύγοντας τις αποκρίσεις ανίχνευσης τελικού σημείου.
Δεδομένης της πανταχού παρουσίας του Office σε περισσότερες από 1,4 δισεκατομμύρια συσκευές παγκοσμίως, τα μη επιδιορθωμένα συστήματα αντιμετωπίζουν αυξημένο κίνδυνο μόλυνσης μέσω spear-phishing.
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην απενεργοποίηση μακροεντολών στις πολιτικές του Office, να ενεργοποιήσουν την Προστατευμένη προβολή για όλα τα έγγραφα και να αναπτύξουν προηγμένα εργαλεία προστασίας από απειλές.
Συνιστάται η παρακολούθηση για ανώμαλη δραστηριότητα του φόρουμ και η επείγουσα εφαρμογή επερχόμενων ενημερώσεων κώδικα, καθώς η Microsoft ενδέχεται να επιταχύνει τις διορθώσεις εάν προκύψουν στοιχεία εκμετάλλευσης.
